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A system is used for the personalisation of data cards of the type used 
for access to banking services. The initial issue of the card is made with 
an individual code number (K) and a pseudo identify name (X) that is 
entered into a register (3) . The values are entered on the card (2) and are 
read when the card is used for the first time. 

When the transaction is made the user enters his time identify, which is 
then used to overwrite the pseudo identify in the register. 
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Assignee: Deutsche Bundespost, vertreten durch den Praesidenten des 

Fernmeldetechnischen Zentralamtes, 6100 Darmstadt, DE (DEEP) 
Inventor: WOLFENSTER K D 

Kowalski, Bernd, Dipl.-Ing., 5900 Siegen, DE 
Language: DE 

Application: DE 3927270 A 19890818 (Local application) 
Original IPC: G07C-9/00 
Current IPC: G07C-9/00 
Claim: 

* 1. Verfahren zum Personalisieren von Chipkarten bei dem der Name des 



Teilnehmers und ein zugehoriger individueller Schlussel in die 
Chipkarte abgespeichert werden und der Name des Teilnehmers in ein 
Register abgelegt wird, 
**dadurch gekennzeichnet, ** dass in einem 

gesicherten Bereich die Chipkarte (**2**) statt mit dem 

Namen des Teilnehmers (A) mit einer Pseudo- Indentitat (X) 
vorpersonalisiert wird und diese Pseudo- Indentitat (X) in dem 
Register (**3**) abgelegt wird und dass erst nach Verlassen der 
Chipkarte (**2**) des gesicherten Bereichs in einer 

Kartenausgabestelle zur Selbstpersonalisierung die Pseudo-Identitat 

(X) mit dem Namen des Teilnehmers (A) uberschrieben wird und dass 
dieser Name uber eine gesicherte Kommunikationsverbindung zum 
gesicherten Bereich (**l**) der Pseudo-Identitat im Register 

(**3**) fest zugeordnet wird. 

Publication No. DE 3927270 C2 (Update 199632 E) 
Publication Date: 19960711 
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Assignee: Deutsche Telekom AG, 53113 Bonn, DE (DEEP) 

Inventor: Wolf enstetter , Klaus-Dieter, Dipl. -Math., 6146 Alsbach, DE 

Kowalski, Bernd, Dipl.-Ing., 5900 Siegen, DE 
Language: DE (7 pages, 4 drawings) 

Application: DE 3927270 A 19890818 (Local application) 
Original IPC: G06K-19/073 (A) G06K-19/10 (B) 
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Claim: 

* 1. Verfahren zum Personalisieren von Chipkarten ( 
**2**) , bei dem ein 

Teilnehmername (A) und ein individueller Schlussel (K) in die 
Chipkarten (**2**) abgespeichert werden und der Teilnehmername in 
einem gesicherten Bereich (**i**) in einem Register (**3**) 
abgelegt und die Chipkarten danach ausgeliefert werden, **dadurch 
gekennzeichnet, ** 

* - dass im gesicherten Bereich ( 
**1**) anstelle des Teilnehmernamens 

(A) ein Pseudoname (X) in die Chipkarte eingetragen wird, 

* - dass in einer Kartenausgabestelle ( 
**5**) vor der Kartenausgabe 

der Pseudoname (X) in der Chipkarte (**2**) mit dem 
Teilnehmernamen (A) uberschrieben wird, 

* - dass uber eine gegen Abhoren und Verandern von zu ubertragenden 

Daten gesicherte Kommunikationsverbindung ( 
**6**) zwischen der 

Kartenausgabestelle (**5**) und dem gesicherten Bereich 

der Pseudoname (X) und der Teilnehmername (A) verschlusselt zum 

gesicherten Bereich ubertragen werden, 

* - dass in einem Register ( 
**3**) des gesicherten Bereiches (**i**) 

der Teilnehmername (A) zum Pseudonamen (X) zugeordnet gespeichert 

* - dass nach einer Ruckmeldung vom gesicherten Bereich ( 

Kartenausgabestelle (**5**) dort die Ausgabe der personalisierten 
Chipkarte (**2**) erfolgt. 
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Prufungsartrag gem. 5 44 PatG ist gestellt 

(§) Verfahren zum Personallsieren von Chipkarten 

Bisherwurden Chipkarten nur innerhalbeinesgesicherten 
Bereichs zentral personalisiert. Die durch den Versand der 
Karten aufkommenden Wartezeiten fur die Kunden sollen 
durch die Erf indung vermieden warden. 
GemaS der Erfindung warden die Chipkarten (2) in dem ge- 
sicherten Bereich (1) mit einer Pseudaidentitat (x) vorperso- 
nalisiert und nach Bedarf erst in den Kartenausgabestellen 
mit dem Namen des Teiinehmers (A) versehen (endpersona- 
lisiert). Die Endpersonalisierung wird von einer berecfitigten 
Person durchgef Ohrt und die Oaten dem gesicherten Bereich 
iiber eine gesicherte Kommunikationsverbindung mitgeteilt. 
Diese Personalisierungsprozedur ist bei alien Chipkarten- 
anwendungsbereichen verwendbar. 
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Beschreibung 

Die Erfindung betrifft ein Verfahren zum Personali- 
sieren von Chipkarten. 

Es ist aus der Zeitschrift Telecom report 12 (1989), 5 
Heft 1 -2, S. 56 bis 58 bereits ein Stand der Technik 
bekannt, gemaB dem die Personalisierung von Chipkar- 
ten zentral in einer gesicherten Umgebung erfolgt. Bei 
diesem Vorgang werden bereits die endgultigen Perso- 
nalisierungsdaten in den Chip der Karte eingeschrieben. 10 

Die Freigabe der Chipkarte erfolgt spater durch Ein- 
gabe der personlichen Identifikationsnummer (PIN) 
durch den Benutzer. 

Nachteilig bei diesem Stand der Technik ist, daB be- 
reits beim zentralen Personaiisieren die vollstandigen 15 
Daten des spateren Benutzers vorliegen miissen. 

Aufgabe der Erfindung ist es, den Personaiisierungs- 
vorgang dezentral durchfiihren zu konnen ohne eine 
Verringerung des hohen Sicherheitsstandards in Kauf 
nehmen zu miissen. 20 

Diese Aufgabe wird durch den kennzeichnenden Teil 
des Hauptanspruches gelost. 

Vorteilhafte Ausgestaltungen der Erfindung sind in 
den Unteranspriichen naher aufgeftihrt. 

Ein Vorteii der Erfindung besteht darin, daB nach dem 25 
erfindungsgemaBen Verfahren vorpersonalisierte Chip- 
karten bei Antragsteliung eines zukunftigen Benutzers 
diese Karten dezentral in einer ungeschiitzten Umge- 
bung selbstpersonalisiert uhd sofort an diesen Benutzer 
ausgegeben werden konnen und somit gegeniiber dem 30 
Verfahren gemaS dem Stand der Technik unumgangli- 
che Wartezeiten entfallen. 

Nebenbei kann vorteilhaft eine bereits vorhandene 
Infrastruktur, wie z. B. Bankfilialen, Postamter usw. bei 
der Abwicklung des Verfahrens gemaB der Erfindung 35 
voll einbezogen werden. 

Weiterhin ist von Voneil, daB bei dem endgQltigen 
Personahsierungsvorgang keine geheimen Daten die 
Chipkarte verlassen, genausowenig geheime oder sensi- 
ble Daten in die Karte geschrieben werden. 40 

Beispiele der Erfindung werden anhand der Zeich- 
nung nSher eriautert. 

Es zeigt die Fig. 1 den Stand der Technik der Perso- 
nalisierung, die Fig. 2 das Grundprinzip der Vorperso- 
nalisierung, die Fig. 3 die Vorpersonalisierung mit ei- 45 
nem zusatzlichen symmetrischen Transportschlussel 
und die Fig. 4 die endgiiltige Personalisierung (Selbst- 
personalislerung) einer Chipkarte. 

Wie Fig. 1 zeigt, werden nach der individuellen Er- 
zeugung eines symmetrischen Schiiisseis K. und nach 50 
dem Eingang der Identitatsdaten eines am Chipkarlen- 
verfahren zukunftig tellnehmenden Kunden dessen indi- 
vidueller Schliissel K und der Name der Teilnehmer 
(Kunden) A in eine freie Chipkarte 2 beim Personahsie- 
rungsvorgang eingeschrieben. Gleichzeitig wird in ei- 55 
nem Register 3 der Name des Teilnehmers A als Zu- 
gangsberechtigung abgelegt. 

Diese Vorgange finden zentral in einem gesicherten 
Bereich 1 statt. Erst nach der vollstandigen und endgul- 
tigen Personalisierung kann die Chipkarte 2 diesen gesi- 
cherten Bereich 1 verlassen und der Versand der Karte 
an den Teilnehmer erfolgen. 

Von diesem Stand der Technik unterscheidet sich das 
erfindungsgemaOe, in Fig. 2 prinzipiell gezeigte Verfah- 
ren der Vorpersonalisierung dadurch, daB die Identitats- 
daten des zukunftigen Teilnehmers noch nicht bekannt 
sind und stattdessen eine Pseudo-ldentitat X erzeugt 
wird, die mit dem zugehorigen Schlussel K in die Chip- 
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karte 2 eingeschrieben wird. Diese Pseudo-ldentitat X 
wird in einem Register 3 abgelegt. Nach dieser Vorper- 
sonalisierung kann die Chipkarte 2 den gesicherten Be- 
reich 1 verlassen und in Bankfilialen oder Postamter 
bevorratet werden. 

Beantragt ein zukiinftiger Teilnehmer eine Chipkarte, 
so wird in der Filiate oder dem Amt als Selbstpersonali- 
sierer die Pseudo-ldentitat X mit dem Namen des Teil- 
nehmers A uberschrieben und dieser Teilnehmername 
uber eine gesicherte Kommunikationsverbindung zum 
gesicherten Bereich 1 in dem Register 3 der Pseudo- 
ldentitat X eindeutig zugeordnet. 

Die Fig. 3 zeigt den Vorgang der Vorpersonalisierung 
unter Verwendung eines zusatzlichen symmetrischen 
Transportschlussels t der mit dem individuellen (symme- 
trischen) Schlussel K und der Pseudo-ldentitat X inner- 
halb des gesicherten Bereichs 1 in die Chipkarte 2 einge- 
geben wird. 

Dieser Transportschlussel t wird fur die gesicherte 
Kommunikation wahrend des Selbstpersonalisierungs- 
vorgangs zwischen der Kartenausgabestelle und dem 
gesicherten Bereich (in Fig. 2) benotigt. 

Die in Fig. 4 gezeigte Selbstpersonalisierung in der 
Kartenausgabestelle lauft in folgenden Schritten ab: 
Der Teilnehmer gibt seinen Namen A uber ein Terminal 
5 ein. Eine berechtigte Person, wie z. B. ein Bankange- 
stellter oder ein Postbeamter als Personalisierer leitet 
den Selbstpersonalisierungsvorgang durch die Eingabe 
seiner eigenen Berechtigungskarte 4 ein. Diese Berech- 
tigungskarte 4 berechnet anschlieBend aus dem Namen 
des Teilnehmers A, der in der Berechtigungskarte 4 ab- 
gespeicherten Kennung pi und den ebenfalls abgespei- 
cherten Namen Pi des Personalisierers eine Berechti- 
gungskennung pi(A, Pi), die an die vorpersonalisierte 
Chipkarte 2 mil dem zusatzlich eingegebenen Namen 
des Personalisierers Pi weitergeleitet wird. 

Innerhalb der Chipkarte 2 wird aus dem Namen des 
Personalisierers Pi, dem Namen des Teilnehmers A, der 
Pseudo-ldentitat X, der aktuellen Zeit h, und der Be- 
rechtigungskennung pi (A, Pi) mittels des Transport- 
schliissels t eine erste Datenfolge t(Pi, A, X, h, pi(A, Pi)) 
errechnet, die dem gesicherten Bereich 1 Obermittelt 
wird. 

Im gesicherten Bereich 1 sind der Transportschlussel 
t, der Name der Personahsierers Pi. die Kennung des 
Personalisierers pi und die Pseudo-ldentitat X der Chip- 
karte 2 bekannt. Somit kann aus dieser ersten Datenfol- 
ge der Name des Teilnehmers A und zusatzlich zum 
Vergleich mit den hier bekannten Daten der Name des 
Personalisierers Pi und die Pseudo-ldentitat X errech- 
net werden. Durch einen weiteren Rechenvorgang wird 
auch die Berechtigungskennung pi(A, Pi) neu erzeugt 
und iiberprtift. Sind die PrQfungsergebnisse positiv, so 
wird mittels des Transportschlussels t aus der Berechti- 
gungskennung pi(A, Pi) und der Pseudo-ldentitat X eine 
zweite Datenfolge t(p'i(A, Pi), X) erzeugt und als Bestati- 
gung dem Terminal 5 der Kartenausgabestelle und so- 
mit auch der dort befindlichen Chipkarte 2 ubermittelt. 
Gleichzeitig wird in dem Register der Name des Teil- 

I nehmers A der Pseudo-ldentitat X fest zugeordnet. 
Innerhalb der Chipkarte 2 wird abermals die Berech- 
tigungskennung pi(A, Pi) errechnet und mit der dort 
noch gespeicherten Kennung verglichen. 1st dieser Pru- 
fungsvorgang abgeschiossen, so tauscht die Chipkarte 

, die Pseudo-ldentitat X mit dem Namen des Teilnehmers 
A und loscht den Transportschlussel t und die Berechti- 
gungskennung pi(A, Pi). In der Chipkarte 2 sind also 
nach der erfolgten Selbstpersonalisierung nur noch der 
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Name des Teilnehmers A und der zugehorige individu- 
elle Schliissel K abgespeichert und die Karte kann dam 
Teilnehmer ausgehandigt werden. 

Vorzugsweise ist die Berechtigungsicennung pi(A, Pi) 
eine Einwegfunktion, welche die geheime ICennung pi 5 
des Personaiisierers beinhaltet. Der Name des Persona- 
lisiers Pi kann auch als Codewort in der Berechtigungs- 
karte 4 abgespeichert und/oder in die Chipkarte einge- 
geben werden. 

Wird statt eines symmetrischen Chiffrierverfahrens to 
mit einem individuellen Schliissel ein asymmetrisches 
Verfahren gewahit, bei dem ein geheimer und ein 6f- 
fentlicher Schliissel als komplementares Paar verwen- 
det wird, so werden bereits bei der Vorpersonalisierung 
beide Schlussel in die Chipkarte abgespeichert und wah- 15 
rend oder nach der Selbstpersonalisierung nicht ge- 
loscht. Ansonsten unterscheidet sich diese Variante 
nicht von dem Verfahren mit einem symmetrischen 
Schlussel. 

20 

PatentansprOche 

1. Verfahren zum Personalisieren von Chipkarten 
bei dem der Name des Teilnehmers und ein zuge- 
horiger individueller Schlussel in die Chipkarte ab- 25 
gespeichert werden und der Name des Teilnehmers 

in ein Register abgelegt wird, dadurch gekenn- 
zeichnet, daQ in einem gesicherten Bereich (1) die 
Chipkarte (2) statt mit dem Namen des Teilneh- 
mers (A) mit einer Pseudo-Indentitat (X) vorperso- 30 
nalisiert wird und diese Pseudo-Indentitat (X) in 
dem Register (3) abgelegt wird und daB erst nach 
Verlassen der Chipkarte (2) des gesicherten Be- 
reichs (1) in einer Kartenausgabestelle zur Selbst- 
personalisierung die Pseudo-ldentitat (X) mit dem 35 
Namen des Teilnehmers (A) iiberschrieben wird 
und daB dieser Name uber eine gesicherte Kommu- 
nikationsverbindung zum gesicherten Bereich (1) 
der Pseudo-ldentitat im Register (3) fest zugeord- 
net wird. 40 

2. Verfahren nach Anspruch 1, dadurch gekenn- 
zeichnet. daB wahrend der Vorpersonalisierung zu- 
satzlich ein Transportschlussel (t) fiir die Kommu- 
nikationsverbindung in die Chipkarte (2) eingege- 
ben wird und daB dieser Transportschlussel (t) nach 45 
der Selbstpersonalisierung geloscht wird. 

3. Verfahren nach Anspruch 2, dadurch gekenn- 
zeichnet, daB mittels einer Berechtigungskarte (4) 
eines zugelassenen Personaiisierers in der Karten- 
ausgabestelle aus dem Transportschliissel (t), dem 50 
Namen des Personaiisierers (Pi), dem Namen des 
Teilnehmers (A), der Pseudo-ldentitat (X), der ak- 
tuellen Zeit (h) und einer, aus einer geheimen ICen- 
nung des Personaiisierers (pi), dem Namen des Teil- 
nehmers (A) und dem Namen des Personaiisierers 55 
(Pi) errechneten Berechtigungskennung (pi(A, Pi)) 
eine erste Datenfolge als Kommunikationsverbin- 
dung errechnet wird, aus der im gesicherten Be- 
reich (1) der Name des Teilnehmers (A) riickge- 
rechnet wird. f>o 

4. Verfahren nach Anspruch 3, dadurch gekenn- 
zeichnet, daB aus dem Transportschlussel (t), der 
Berechtigungskennung (pi(Pi, A) und der Pseudo- 
ldentitat (X) innerhalb des gesicherten Bereichs (1) 
eine zweite Datenfolge errechnet wird und als Teil 65 
der Kommunikationsverbindung der Kartenausga- 
bestelle zugeht und dort der Oberprufung der ge- 
samten Kommunikationsverbindung auf Obertra- 



gungsfehler dient. 

5. Verfahren nach Anspruch 1, dadurch gekenn- 
zeichnet, daB der individuelle Schlussel (K) ein 
asymmetricher Schlussel, bestehend aus einem ge- 
heimen und einem offentlichen Schlussel ist. 
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